De angst dat bedrijven door de dekking van cyberverzekeringen gemakkelijker losgeld betalen dan anders lijkt ongegrond, zo concludeert een onderzoek van de Britse denktank RUSI die suggereert dat verzekeraars meer zouden moeten doen om bedrijfsdiscipline in te voeren.
De studie van het Royal United Services Institute, concludeert ook dat het “zwart-wit standpunt van de Britse overheid over losgeldbetalingen” – ze is tegen het doen ervan – een vacuüm heeft gecreëerd als het gaat om best practices voor losgeldonderhandelingen en -betalingen.
Cyberverzekeringen worden beschuldigd van moreel risico, vooral omdat verzekeraars op de toegenomen vraag in het afgelopen decennium hebben gereageerd door vaak de eis te laten vallen dat klanten controleerbare beveiligingsminima handhaven. De ransomware-explosie van de afgelopen jaren heeft die zorgen alleen maar groter gemaakt, niet in de laatste plaats omdat ransomware-hackers netwerken van slachtoffers doorzoeken op cyberverzekeringspolissen in een poging om invloed te krijgen.
Er is geen “smoking gun” die aantoont dat slachtoffers met een verzekering eerder geneigd zijn om te betalen dan slachtoffers zonder verzekering, concludeert het onderzoek, gefinancierd door het National Cyber Security Center in het Verenigd Koninkrijk. De onderzoekers ondervroegen 65 experts in de verzekeringsbranche, advocatenkantoren en overheidsfunctionarissen.
“De meeste verzekeraars adviseren slachtoffers niet om al dan niet losgeld te betalen en autoriseren geen betalingen zonder op zijn minst enige zorgvuldigheid te betrachten”, aldus het onderzoek.
Verzekeraars vertelden onderzoekers consequent dat ze betalingen voor ransomware alleen toestaan als “laatste redmiddel”. Maar wat eigenlijk een “laatste redmiddel” is, is onduidelijk, aldus de auteurs. Sommige interviewpersonen suggereerden dat de beslissing echt bij de verzekerde ligt en niet bij de verzekeraar.
Als er een gebrek is aan duidelijke richtlijnen over wanneer wel of niet te betalen, kan dat komen door het minimale advies van de autoriteiten over het afhandelen van betalingen. Een van de aanbevelingen in het rapport is dat de Britse overheid gemeenschappelijke best practices vaststelt voor gespecialiseerde bedrijven die reageren op ransomware.
Veel van de aanbevelingen in het rapport zijn suggesties voor de cyberverzekeringsbranche. Door op te treden als “samenzweerders tegen incidenten”, kunnen verzekeraars de groei van losgeldbetalingen stabiliseren, slachtoffers helpen bij het onderhandelen over losgeld en slachtoffers ervan weerhouden om buitensporige losgeldeisen te betalen, aldus het onderzoek. Het onderzoek beveelt verzekeraars aan om polisvoorwaarden op te nemen die bedrijven verplichten om te documenteren dat ze alle opties hebben uitgeput voordat ze hun toevlucht nemen tot betaling.
Het onderzoek zegt met instemming dat de markt sinds 2021 minimale beveiligingsmaatregelen heeft benadrukt als voorwaarde voor dekking en in sommige gevallen contractuele verplichtingen gebruikt om bedrijven aan te sporen hun beveiliging te verbeteren. De industrie zou verder kunnen gaan door bedrijven te verplichten om ransomware-incidenten te melden voordat ze een betaling doen, aldus de studie.
